SSL a SEO: o czym musisz pamiętać wdrażając HTTPS

  • Share

Certyfikat SSL to konieczność, jeśli prowadzisz działalność w internecie, ale jego wdrożenie nie zawsze jest takie proste z punktu widzenia SEO. Dlatego przygotowaliśmy poradnik, który pomoże przenieść się z HTTP na HTTPS tak, aby nie stracić wypracowanych pozycji.

Czym jest HTTPS

HTTPS (HyperText Transfer Protocol Secure) to szyfrowana wersja protokołu HTTP, która zapewnia  poufność informacji przesyłanych między komputerem a witryną oraz uniemożliwia przechwytywanie i zmienianie przesyłanych danych. Do korzystania z HTTPS konieczne jest zainstalowanie certyfikatu SSL, a raczej TLS (TLS jest rozwinięciem protokołu SSL, ale przyjęło się używanie tych określeń wymiennie).

Stanowisko Google odnośnie SSL

Google uznało internet w wersji HTTPS za swoją misję, a od 2018 roku przeglądarka Google Chrome oznacza strony bez certyfikatu SSL jako niezabezpieczone. Próba podania danych logowania na stronach bez certyfikatu również generuje ostrzeżenia. Od Chrome 81 (marzec 2020) obrazy z HTTP w obrębie stron z HTTPS są ładowane w wersji z HTTPS (a jeśli ich załadowanie nie jest możliwe, są blokowane). Dodatkowo stopniowo jest także blokowane / opatrywane ostrzeżeniami pobieranie plików bez HTTPS na zabezpieczonych stronach – od Chrome 83 (czerwiec 2020) zablokowano pobieranie plików wykonywalnych, od Chrome 86 wszystkich plików (październik 2020).

ssl a seo: mixed downloads

Źródło: Mixed downloads w Chrome.

Warto także wspomnieć, że Google promuje stosowanie mechanizmu HSTS (HTTP Strict Transport Security), który uniemożliwia połącznie z serwerem korzystające z niezabezpieczonego protokołu HTTP. Zachęca także do korzystania ze wstępnego ładowania HSTS.

Więcej informacji: Zabezpieczanie witryny za pomocą protokołu HTTPS.

SSL a SEO

Aktualnie posiadanie certyfikatu jest czynnikiem rankingowym o niewielkiej mocy. W dalszym ciągu w wynikach wyszukiwania pojawiają się domeny z HTTP. Nie oznacza to jednak, że wdrożenie SSL można zignorować, zwłaszcza jeśli weźmiemy pod uwagę nacisk, jakiGoogle kładzie na bezpieczne przeglądanie internetu. Oraz na odczucia samych użytkowników, którzy – z oczywistych względów – mogą mieć obiekcje przed korzystaniem z witryny, która nie wykorzystuje szyfrowania.

Dodatkowo warto pamiętać, że bez SSL-a nie skorzystamy z HTTP/2, a co za tym idzie zoptymalizowanie prędkości ładowania naszej strony będzie mocno ograniczone.

O czym musisz pamiętać wdrażając certyfikat SSL?

1. Przekierowania 301

Przy wdrożeniu HTTPS konieczne jest stworzenie przekierowań 301 z wersji bez SSL-a na wersję z certyfikatem.

Najczęstsze błędy? Brak poprawnego przekierowania na wersji www, stworzenie przekierowania wszystkich podstron na stronę główną, stosowanie przekierowania 302 zamiast 301.

2. Subdomeny

Certyfikatem objęte powinny zostać także subdomeny, konieczne jest również stworzenie przekierowań. Jeśli strona ma wersję mobilną w subdomenie, certyfikat jest konieczny.

3. Weryfikacja linkowania wewnętrznego

Jeżeli w obrębie strony wykorzystywane były linki bezwzględne, zamiast względnych wskazana jest ich poprawa.

Adres bezwzględny: https://xann.pl/ /audyt-i-optymalizacja-strony-internetowej

Adres względny: /audyt-i-optymalizacja-strony-internetowej

O co chodzi? Link bezwzględny zawiera protokół i domenę, link względny jedynie ścieżkę. Jeżeli stosowaliśmy linki bezwzględne z protokołem HTTP, będą one generowały przekierowania. A im mniej przekierowań w obrębie strony, tym lepiej.

4. Mixed content

Problem adresów względnych i bezwzględnych dotyczy także plików w obrębie domeny: obrazów, pdf-ów, a pod pojęciem mixed content kryje się serwowanie użytkownikom niezabezpieczonych zasobów w obrębie zabezpieczonej strony. W takiej sytuacji w pasku adresu pojawi się informacja o tym, że strona jest niezabezpieczona, mimo posiadania ważnego certyfikatu SSL.

ssl a seo: mixed content

5. Sprawdzenie poprawności canonicali

Tag canonical wskazuje robotom preferowaną wersję strony, wykorzystywany jest w przypadku URL-i, które mają kilka różnych wersji, np. spowodowanych stronicowaniem. Niestety zadziwiająco częstym błędem przy wdrażaniu SSL-a jest pozostawienie canonicali, które wskazują na wersję HTTP strony. Warto więc sprawdzić ten element.

6. Sprawdzanie poprawności tagów OG

Tagi Open Graph pozwalają na zoptymalizowanie tego, w jaki sposób nasza strona wygląda w mediach społecznościowych. Po zmianie na HTTPS warto sprawdzić, czy OG nie wskazują przypadkiem na wersję bez certyfikatu.

7. Pętle oraz łańcuchy przekierowań

Idealnym rozwiązaniem jest przekierowanie, które ma tylko jeden krok. Niestety dość często spotyka się łańcuchy przekierowań (użytkownik lub bot przekierowywaniu są kilkukrotnie zanim trafią na prawidłowy adres) bądź pętle (użytkownik lub bot trafiają do punktu wyjścia). Jeśli pojawią się na stronie po wdrożeniu SSL-a, koniecznie trzeba je poprawić.

8. Sprawdzenie poprawności mapy strony

Koniecznie trzeba sprawdzić, czy linki w mapie strony występują w wersji HTTPS. Dodatkowo nie zapomnij o dodaniu nowej mapy w Google Search Console.

9. Sprawdzenie robots.txt

Jeśli w pliku robots.txt dodany był link do mapy strony, trzeba go zaktualizować na wersję z HTTPS.

10. Aktualizacja linków przychodzących

Jeśli tylko jest taka możliwość, warto zaktualizować linki prowadzące do naszej domeny. Koniecznie trzeba poprawić linki w mediach społecznościowych, Mapach Google i Google Moja Firma.

11. Dodanie domeny do GSC

Jeśli strona w GSC jest dodana w wersji prefiksu adresu URL, a nie domeny (weryfikacja DNS), konieczne będzie dodanie wersji z HTTPS.

12. Śledzenie błędów w GSC

Google Search Console jest najlepszym przyjacielem po zmianie wersji domeny. Koniecznie trzeba śledzić raport Stan w sekcji Indeks i obserwować, czy nowa wersja strony poprawnie się indeksuje, a stara stopniowo znika z wyników wyszukiwania.

Wdrożenie SSL – checklista SEO

  1. Przekierowanie 301
  2. Sprawdzenie subdomen
  3. Sprawdzenie linkowania wewnętrznego
  4. Obrazy, PDF i inne – mixed content
  5. Sprawdzenie poprawności canonicali
  6. Sprawdzenie poprawności tagów Open Graph
  7. Sprawdzenie, czy nie występują pętle, łańcuchy i inne błędy przekierowań
  8. Sprawdzenie poprawności linków w mapie strony
  9. Zmiana adresu mapy strony w robots.txt
  10. Aktualizacja linków przychodzących (także z profili społecznościowych, wizytówki Google Moja Firma)
  11. Dodanie domeny z HTTPS do GSC
  12. Śledzenie powiadomień o błędach w GSC

Kto powinien wdrożyć SSL?

Każdy. Ale zwłaszcza wszystkie strony, które zbierają dane wrażliwe, hasła, loginy, adresy e-mail, dane kart kredytowych oraz strony z branży YMYL (Your Money Your Life). Dodatkowo musisz pamiętać, że certyfikat SSL jest konieczny przy uruchamianiu kampanii Google Shopping (Zakupy Google).

Czy darmowy certyfikat SSL wystarczy?

Tak, w większości przypadków będzie to akceptowalne rozwiązanie. Warto jednak wiedzieć, że darmowe certyfikaty oferują jedynie walidację na poziomie domeny (DV). Jeśli zależy nam na certyfikacie OV (Organization Validation) lub EV (Extended Validation), za certyfikat trzeba będzie zapłacić.

Jak sprawdzić, czy certyfikat wdrożono poprawnie?

Lista narzędzi, które pomogą sprawdzić poprawność wdrożenia certyfikatu:

SSL: potencjalne problemy

Zmiany w wynikach wyszukiwania

Niepoprawne wdrożenie HTTPS może spowodować drastyczny spadek w pozycjach. Przy poprawnym wdrożeniu nie ma zagrożenia.

Wygasły certyfikat / błędy certyfikatu

W przypadku gdy certyfikat wygaśnie lub generuje błędy, np. w przekierowaniach, korzystanie z witryny jest utrudnione / niemożliwe. Użytkownikom pojawiać się będą ostrzeżenia. Poniżej przykład strony z nieprawidłowym certyfikatem:

ssl a seo: połączenie nie jest prywatne

Czas ładowania strony a wdrożenie certyfikatu SSL

Poprawnie wdrożony certyfikat ma marginalny wpływ na szybkość ładowania strony. Problemem mogą być za to łańcuchy przekierowań.